Le dernier émule de I Love You galope sur un cheval de Troie

Depuis l'invasion des systèmes d'information en mai dernier par l'original du virus I Love You, des dizaines de clones ont vu le jour sans toutefois présenter de risques supplémentaires majeurs. Parmi ceux-ci, le dernier en date aurait été découvert dans la nature ("in the wild") simultanément en Russie et en Suisse le 15 août dernier par la firme moscovite Kapersky Lab, éditeur de l'antivirus AVP. Moins dangereux au premier abord que son grand frère, "I-Worm.LoveLetter.bd" se propage suivant le même principe en s'envoyant à tous les contacts du carnet d'adresses dans Outlook, mais ne causerait aucun dégât à la machine infectée. Jusque là, tout va bien.

Mais pour les clients d'une banque suisse, la Union Bank of Switzerland, il s'avère être en fait une véritable unité d'infiltration. En effet, ceux ayant installé le logiciel USB permettant de conduire des transactions bancaires en ligne risquent de recevoir de façon invisible un second virus surprise du nom de Hooker. Ce dernier, un cheval de Troie classique, permet à un pirate de s'emparer à distance du poste client infecté pour télécharger des informations confidentielles, voler tous les logins et mots de passe, voire même observer les caractères saisis au cours de la frappe.

Au départ, le message reçu présente une entreprise Internet suisse à la recherche d'un programmeur. La pièce jointe incriminée est un fichier nommé RESUME.TXT.VBS. A son ouverture, un texte en allemand s'affiche dans Notepad et le virus s'envoie simultanément aux contacts dans Outlook. Puis, il vérifie si le programme USB est installé en recherchant la clé de registre correspondante. S'il ne la trouve pas, il stoppe net toute activité malveillante. Dans le cas contraire, il se connecte successivement à trois sites FTP définis jusqu'à ce qu'il trouve le fichier HCHECK.exe correspondant à Hooker et le télécharge. Après exécution de ce dernier par le ver, les données confidentielles sont rapatriées dans trois e-mails anonymes également définis dans le code source. Lorsque son larcin est commis, "I-Worm.LoveLetter.bd" efface toute trace de sa présence sur le disque dur de la victime.

Le virus étant peu différent de ses prédécesseurs, il semble que l'usage des antivirus mis à jour depuis l'apparition du premier I Love You devrait suffire à l'éradiquer. Toutefois, la meilleure protection est encore la prévention. Et s'il faut le répéter encore pour la millième fois : n'ouvrez pas les fichiers attachés de provenance inconnue, même si ceux-ci semblent ne présenter aucun risque. [François Morel, JDNet]